Computer security practices are stuck in a time when the lone analyst was enough to solve the world's problems. Unfortunately, this has not been the case since the Morris worm of 1988. Yet, security analysts are still reliant on one-off tools, stove-piped processes, and immature methods with the end goal being a signature or an Indicator of Compromise for a single event. Sadly, this is a reactive process that takes months, while malicious actors move from victim A to victim B in less than 24 hours. As such, it should be no surprise that major incidents are regular news stories and 20% of companies report a major incident every year. This dissertation explores how to break the current paradigm in computer security. As such, this work takes the approach that defensive methods must evolve to empower analysts to function across the Intelligence Cycle and pool the collective knowledge and resources of the community together. Specifically, we seek to change how the security community approaches the challenges of investigating malicious activities and generating defensive mitigation actions. In doing so, we provide the technical concepts required and guide how the analytics of malicious activities should be approached. After all, it is the process and the philosophy that matters most. To help guide achieving these goals, we develop an architecture that allows analysts to perform large-scale analysis using any object type. We then expand the architecture to create a new model for sharing and collaboration. This model allows analysts to develop a global perspective and assess threats as a collective whole. To emphasize that the concepts presented in this dissertation can apply to the real world, we then present a working prototype. This prototype has performed complex investigations and enabled active mitigation operations. Finally, we exemplify the power of the approach this dissertation prescribes by demonstrating these methods. In doing so, we reveal a hidden aspect of the PE32 file type and create two triage methods that perform rapid similarity matching and fingerprint the actor's build environment.     «

Computer security practices are stuck in a time when the lone analyst was enough to solve the world's problems. Unfortunately, this has not been the case since the Morris worm of 1988. Yet, security analysts are still reliant on one-off tools, stove-piped processes, and immature methods with the end goal being a signature or an Indicator of Compromise for a single event. Sadly, this is a reactive process that takes months, while malicious actors move from victim A to victim B in less than 24 hou...     »

Computersicherheitspraktiken stecken noch immer in einer Zeit fest, in der der einsame Analyst ausreichte um alle Probleme der Welt zu lösen. Unglücklicherweise ist das bereits seit dem Morris Wurm von 1988 nicht mehr der Fall. Trotzdem verlassen sich Sicherheitsanalysten noch immer auf Einmal-Werkzeuge, Trichter-Prozesse und unausgereifte Methoden um am Ende eine Signatur oder einen Indikator für die Kompromittierung eines simplen Ereignisses zu erhalten. Leider ist dies ein reaktiver Prozess der mitunter Monate dauert, während bösartige Akteure in nur 24 Stunden von Opfer A zu Opfer B springen. Es ist deshalb nicht verwunderlich, dass regelmäßig von größeren Vorfällen in den Nachrichten berichtet wird und jährlich auch von 20 Prozent der Unternehmen gemeldet werden. Diese Doktorarbeit erforscht, wie man in der Computersicherheit aus diesen Muster ausbrechen kann. Sie verfolgt den Ansatz, dass sich defensive Methoden weiterentwickeln müssen, um Analysten darin zu stärken über den gesamten Informationszyklus hinweg zu funktionieren sowie das kollektive Wissen und die Ressourcen der Community zu bündeln. Wir versuchen insbesondere die Herangehensweise der Sicherheits-Community bei der Untersuchung von bösartigen Aktivitäten und Planen von Vorgehensweisen zur Schadensminderung zu verändern. Hierfür stellen wir die benötigten technischen Konzepte bereit und bieten einen Leitfaden für die Vorgehensweise bei der Analyse bösartiger Aktionen, denn schlussendlich sind die Prozesse und Philosophien noch immer ausschlaggebend. Um diese Ziele zu erreichen, entwickeln wir eine Architektur die es Analysten erlaubt eine groß angelegte Analyse von beliebigen Objekten durchzuführen. Anschließend erweitern wir unsere Architektur um ein neues Modell, mit dem Ziel einen besseren Datenaustausch und eine bessere Zusammenarbeit zu erreichen. Dieses Modell ermöglicht es Analysten eine umfassendere Sichtweise zu entwickeln und Bedrohungen im Kollektiv einzuschätzen. Um deutlich zu machen, dass die in dieser Doktorarbeit vorgestellten Konzepte in der realen Welt Anwendung finden können, stellen wir darauffolgend einen funktionierenden Prototyp vor. Dieser Prototyp übernahm komplexe Untersuchungen und ermöglichte aktiv Schadensminderung in laufenden Operationen. Abschließend veranschaulichen wir die Kraft unserer in dieser Doktorarbeit beschriebenen Methoden, indem wir sie an einem konkreten Fall demonstrieren. Wir zeigen hierzu einen versteckten Aspekt des PE32 Formats auf und schaffen zwei Selektierungsmethoden, die jeweils eine schnelle Ähnlichkeitssuche durchführen und so die Buildumgebung des Akteurs kategorisieren können.     «

Computersicherheitspraktiken stecken noch immer in einer Zeit fest, in der der einsame Analyst ausreichte um alle Probleme der Welt zu lösen. Unglücklicherweise ist das bereits seit dem Morris Wurm von 1988 nicht mehr der Fall. Trotzdem verlassen sich Sicherheitsanalysten noch immer auf Einmal-Werkzeuge, Trichter-Prozesse und unausgereifte Methoden um am Ende eine Signatur oder einen Indikator für die Kompromittierung eines simplen Ereignisses zu erhalten. Leider ist dies ein reaktiver Prozess d...     »